linux历史记录简易审计系统

这篇具有很好参考价值的文章主要介绍了linux历史记录简易审计系统。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

1、有时候我们需要对线上用户的操作进行记录,可以进行追踪,出现问题追究责任,但是linux自带的history并不会实时的记录(仅仅在内存中,当用户正常退出(exit logout )时才会记录到history文件里),并且还有1000行的限制可以删除的;

为了保证让用户的操作进行实时记录;可以做一个简易的审计系统;审计用户的操作历史;

1:首先创建一个目录,这个目录是用来记录所有用户的操作历史的

[root@localhost_001 ~]# mkdir -p /usr/local/domob/records/

2:然后给目录777权限;(让任何用户都可以写入文件);

[root@localhost_001 ~]# chmod 777 /usr/local/domob/records/

3:还有给目录加上 t 权限;普通用户之间无法互相删除;

[root@localhost_001 ~]# chmod o+t /usr/local/domob/records/

4:在/etc/profile里添加如下内容;并执行立即生效命令:  source   /etc/profile

[root@localhost_001 ~]# vim /etc/profile

if [ ! -d /usr/local/domob/records/${LOGNAME} ]

then

mkdir -p /usr/local/domob/records/${LOGNAME}

chmod 300 /usr/local/domob/records/${LOGNAME}

fi

#需要声明变量;

export HISTORY_FILE="/usr/local/domob/records/${LOGNAME}/bash_history"

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'


[root@localhost_001 ~]# source /etc/profile

详细步骤

[root@localhost_001 ~]# mkdir -p /usr/local/domob/records/

[root@localhost_001 ~]# chmod 777 /usr/local/domob/records/

[root@localhost_001 ~]# chmod o+t /usr/local/domob/records/

[root@localhost_001 ~]# vim /etc/profile

if [ ! -d /usr/local/domob/records/${LOGNAME} ]

then

mkdir -p /usr/local/domob/records/${LOGNAME}

chmod 300 /usr/local/domob/records/${LOGNAME}

fi

export HISTORY_FILE="/usr/local/domob/records/${LOGNAME}/bash_history"

export PROMPT_COMMAND='{ date "+%Y-%m-%d %T ##### $(who am i |awk "{print \$1\" \"\$2\" \"\$5}") #### $(history 1 | { read x cmd; echo "$cmd"; })"; } >>$HISTORY_FILE'



​​​​​​​[root@localhost_001 ~]# source /etc/profile

2、然后在linux下root用户运行一些命令,然后去查看命令历史;

[root@localhost_001 ~]# cd

[root@localhost_001 ~]# pwd

/root

[root@localhost_001 ~]# ls

anaconda-ks.cfg CentOS7-Base-163.repo test

authorized_keys link test.txt

[root@localhost_001 ~]# cd /etc/sysconfig/network-scripts/

[root@localhost_001 network-scripts]# cd

3、然后去存放命令的目录下查看: /usr/local/domob/records/username

[root@localhost_001 ~]# cat /usr/local/domob/records/root/bash_history

2018-10-20 12:11:17 ##### root pts/0 (192.168.149.135) #### source /etc/profile

2018-10-20 12:11:20 ##### root pts/0 (192.168.149.135) #### cd

2018-10-20 12:11:21 ##### root pts/0 (192.168.149.135) #### pwd

2018-10-20 12:11:21 ##### root pts/0 (192.168.149.135) #### ls

2018-10-20 12:11:27 ##### root pts/0 (192.168.149.135) #### cd /etc/sysconfig/network-scripts/

2018-10-20 12:11:27 ##### root pts/0 (192.168.149.135) #### cd

4、我们切换到普通用户随意执行一些命令,然后查看是否会记录;

​​​​​​​[root@localhost_001 ~]# su - fenye

上一次登录:四 10月 18 22:35:24 CST 2018pts/0 上

[fenye@localhost_001 etc]$ cd

[fenye@localhost_001 ~]$ pwd

/home/fenye

[fenye@localhost_001 ~]$ cd

[fenye@localhost_001 ~]$ ksjd;lsdjf

-bash: ksjd: 未找到命令

-bash: lsdjf: 未找到命令

[fenye@localhost_001 ~]$

[fenye@localhost_001 ~]$ cd /etc/

[fenye@localhost_001 etc]$ cd

[fenye@localhost_001 ~]$ ls

[fenye@localhost_001 ~]$ klsd;ksjfksf

-bash: klsd: 未找到命令

-bash: ksjfksf: 未找到命令

linux历史记录简易审计系统

注释:查看/usr/local/domob/relcords已记录,但是无法打开,因为普通用户只有写入的权限;

[fenye@localhost_001 ~]$ cd /usr/local/domob/records/

fenye/ root/

[fenye@localhost_001 ~]$ cd /usr/local/domob/records/fenye/

[fenye@localhost_001 fenye]$ ls

ls: 无法打开目录.: 权限不够

切换至root用户,查看其用户的历史命令是否有记录;有记录;

[fenye@localhost_001 fenye]$ exit

登出

[root@localhost_001 ~]# cat /usr/local/domob/records/

fenye/ root/

[root@localhost_001 ~]# cat /usr/local/domob/records/fenye/bash_history

2018-10-20 12:17:52 ##### root pts/0 (192.168.149.135) ####

2018-10-20 12:17:54 ##### root pts/0 (192.168.149.135) #### ls

2018-10-20 12:17:55 ##### root pts/0 (192.168.149.135) #### klsjdkfs

2018-10-20 12:17:56 ##### root pts/0 (192.168.149.135) #### jsjfkls

2018-10-20 12:17:57 ##### root pts/0 (192.168.149.135) #### ls

2018-10-20 12:17:58 ##### root pts/0 (192.168.149.135) #### pwd

2018-10-20 12:17:58 ##### root pts/0 (192.168.149.135) #### cd

2018-10-20 12:18:01 ##### root pts/0 (192.168.149.135) #### cd /etc/

2018-10-20 12:18:02 ##### root pts/0 (192.168.149.135) #### ls

2018-10-20 12:18:04 ##### root pts/0 (192.168.149.135) #### cd

2018-10-20 12:18:09 ##### root pts/0 (192.168.149.135) #### pwd

2018-10-20 12:18:10 ##### root pts/0 (192.168.149.135) #### cd

转载于:https://my.oschina.net/yuanhaohao/blog/2249855

 文章来源地址https://www.toymoban.com/news/detail-476626.html

到了这里,关于linux历史记录简易审计系统的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 为什么有时候ADSL访问速度会很慢

      为什么有时候ADSL访问速度会很慢        1.网卡绑定的协议太多。上网速度慢,在局域网用户中很常见,原因是网卡绑定的协议太多。网卡上如果绑定了许多协议,当数据通过网卡时,计算机就要花费很多时间来确定这个数据使用哪种协议来传送,这时用户就会感觉上网慢

    2024年02月08日
    浏览(57)
  • M330左键有时候按下没反应的解决 - 换微动

    罗技M330鼠标左键有时候按下没反应,原因是微动老了要换新的了。 1、电烙铁/锡条(最主要的是这两个,其他可以不需要,操作电烙铁时候一定要小心,不要碰到被烫到) 2、小号螺丝刀,给眼镜用的那种,用来拆鼠标的螺丝(共2个螺丝) 视频教程: https://www.bilibili.com/vi

    2024年02月09日
    浏览(60)
  • 在Android Studio导入一个项目之后,通常需要下载Gradle的相应版本,但是AS的自动下载很慢,有时候甚至会失败。会出现类似Error:connect time out等错误...

    用Android Studio导入一个项目时,用Gradle构建过程中报错误,估计是下载gradle.zip文件时访问不到,应该是被墙了,网速太慢,下载不了外网资源。错误有如下情况:1、加载过慢2、下载超时3、下载失败 解决方法如下: 1、下载对应的gradle版本 在Project的视图下,找到gradle,里面的

    2024年02月03日
    浏览(84)
  • linux系统重启 查看相关日志和历史记录

    last 命令不仅可以按照时间从近到远的顺序列出该会话的特定用户、终端和主机名,而且还可以列出指定日期和时间登录的用户。输出到终端的每一行都包括用户名、会话终端、主机名、会话开始和结束的时间、会话持续的时间. 使用 last 命令来查询最近登录到系统的用户和系

    2024年02月13日
    浏览(107)
  • Linux系统的历史记录添加时间和IP信息

    对于linux系统,默认情况下,系统记录的历史命令比较简单。某些历史记录可能也无法正常保存,因此当服务器出现异常,希望通过历史命令来了解曾经做了哪些操作时,往往非常被动,下面就给大家介绍如何通过系统内置的变量来优化历史记录,使得查看历史记录更加方便

    2024年02月19日
    浏览(56)
  • linux清除历史linux清除history/在 Linux 中清除 bash 历史记录

    有几种方法可以清除 Linux 中的 bash 历史记录,具体操作如下: 1. 清空当前会话的历史记录 这将清空当前终端窗口的历史记录。关闭窗口后再打开,历史记录将重新开始记录。 2. 清空 ~/.bash_history 文件 ~/.bash_history ~/.bash_history 文件存储了所有的历史命令记录,这条命令将清空文件的

    2024年02月13日
    浏览(56)
  • 开源在线客服系统-客服系统历史消息记录功能-点击加载历史聊天记录-分页展示历史消息功能实现

    之前开发的开源在线客服系统gofly,访客端一直没有展示历史聊天记录,最近抽时间给加上了 实现的效果就是,访客刚进聊天界面,如果存在历史记录,按5条分页,默认查询加载5条聊天记录。 如果历史记录超过5条,顶部出现 “点击加载更多” 按钮,点击按钮就分页查询历

    2023年04月12日
    浏览(51)
  • 【linux】 查看 Linux 重启历史记录(reboot)

    /var/log 目录隐藏着 Linux 日志机制的核心信息,它是记录系统活动的宝贵仓库。然而,仅仅有日志还不够,真正的难题在于,如何从大量数据中提炼出与系统重启相关的关键信息。 在 /var/log 目录中,可别错过那几个至关重要的家伙,如:wtmp 和 btmp。它们不仅是些普通的日志,

    2024年01月23日
    浏览(65)
  • Linux基础命令-history历史记录

    Linux基础命令-alias设置别名_Linux学习中的博客-CSDN博客 文章目录 前言 一、history命令介绍 二、语法及参数  三、参考实例 总结         在工作中,经常会需要多次重复某一个命令,或者需要查看之前执行过什么命令,那么都少不了history这个命令,下面一起来看看吧。    

    2023年04月22日
    浏览(47)
  • 【论文阅读】SHADEWATCHER:使用系统审计记录的推荐引导网络威胁分析(S&P-2022)

    SHADEWATCHER: Recommendation-guided CyberThreat Analysis using System Audit Records SP-2022 新加坡国立大学、中国科学技术大学 Zengy J, Wang X, Liu J, et al. Shadewatcher: Recommendation-guided cyber threat analysis using system audit records[C]//2022 IEEE Symposium on Security and Privacy (SP). IEEE, 2022: 489-506. 开源:https://github.com/

    2024年02月12日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包